2020 و2023 و2024 ربط قناة LDAP ومتطلبات توقيع LDAP لنظام التشغيل Windows (KB4520412)

المقدمة

يوفر ربط قناة LDAP وتوقيع LDAP طرقا لزيادة الأمان للاتصالات بين عملاء LDAP ووحدات تحكم مجال Active Directory. توجد مجموعة من التكوينات الافتراضية غير الآمنة لربط قناة LDAP وتوقيع LDAP على وحدات تحكم مجال Active Directory التي تسمح لعملاء LDAP بالاتصال بهم دون فرض ربط قناة LDAP وتوقيع LDAP. يمكن أن يؤدي ذلك إلى فتح وحدات تحكم مجال Active Directory لرفع الثغرة الأمنية للامتيازات.

قد تسمح هذه الثغرة الأمنية للمهاجم في الوسط بإعادة توجيه طلب مصادقة بنجاح إلى خادم مجال Microsoft لم يتم تكوينه لطلب ربط القناة أو توقيعها أو إغلاقها على الاتصالات الواردة.

توصي Microsoft المسؤولين بإجراء تغييرات التصلب الموضحة في ADV190023.

في 10 مارس 2020، نعالج هذه الثغرة الأمنية من خلال توفير الخيارات التالية للمسؤولين لتقوية تكوينات ربط قناة LDAP على وحدات تحكم مجال Active Directory:

وحدة تحكم المجال: متطلبات الرمز المميز لربط قناة خادم LDAP .
أحداث توقيع الرموز المميزة لربط القناة (CBT) 3039 و3040 و3041 مع مرسل الحدث Microsoft-Windows-Active Directory_DomainService في سجل أحداث خدمة الدليل.

هام: لن تغير تحديثات وتحديثات 10 مارس 2020، والتحديثات في المستقبل المنظور، النهج الافتراضية الخاصة بتوقيع LDAP أو ربط قناة LDAP أو ما يعادلها من السجل على وحدات تحكم مجال Active Directory الجديدة أو الموجودة.

وحدة تحكم مجال توقيع LDAP: نهج متطلبات توقيع خادم LDAP موجود بالفعل في جميع الإصدارات المدعومة من Windows. بدءا من Windows Server 2022، إصدار 23H2، ستحتوي جميع الإصدارات الجديدة من Windows على جميع التغييرات في هذه المقالة.

سبب الحاجة إلى هذا التغيير

يمكن تحسين أمان وحدات تحكم مجال Active Directory بشكل كبير عن طريق تكوين الخادم لرفض روابط LDAP للمصادقة البسيطة وطبقة الأمان (SASL) التي لا تطلب التوقيع (التحقق من التكامل) أو رفض روابط LDAP البسيطة التي يتم تنفيذها على اتصال نص واضح (غير مشفر ب SSL/TLS). قد تتضمن مصادقة SASLs بروتوكولات مثل Negotiate وKerberos وNTLM وDigest.

تكون حركة مرور الشبكة غير الموقّعة عرضة لإعادة تشغيل الهجمات التي يعترض فيها المتسلل محاولة المصادقة وإصدار بطاقة. يمكن للمتطفل إعادة استخدام البطاقة لانتحال شخصية المستخدم الشرعي. بالإضافة إلى ذلك، تكون نسبة استخدام الشبكة غير الموقعة عرضة لهجمات الرجل في الوسط (MiTM) التي يلتقط فيها المتسلل الحزم بين العميل والخادم، ويغير الحزم، ثم يعيد توجيهها إلى الخادم. إذا حدث هذا على وحدة تحكم مجال Active Directory، يمكن للمهاجم أن يتسبب في قيام الخادم لاتخاذ قرارات تستند إلى طلبات مزورة من عميل LDAP. يستخدم LDAPS منفذ الشبكة المميز الخاص به لتوصيل العملاء والخوادم. المنفذ الافتراضي ل LDAP هو المنفذ 389، ولكن LDAPS يستخدم المنفذ 636 وينشئ SSL/TLS عند الاتصال بالعميل.

تساعد الرموز المميزة لربط القناة على جعل مصادقة LDAP عبر SSL/TLS أكثر أمانا ضد هجمات الرجل في الوسط.

تحديثات 10 مارس 2020

هام لا تغير تحديثات 10 مارس 2020 النهج الافتراضية الخاصة بتوقيع LDAP أو ربط قناة LDAP أو ما يعادلها في السجل على وحدات تحكم مجال Active Directory الجديدة أو الموجودة.

تضيف تحديثات Windows التي سيتم إصدارها في 10 مارس 2020 الميزات التالية:

يتم تسجيل أحداث جديدة في عارض الأحداث المتعلقة بربط قناة LDAP. راجع الجدول 1 والجدول 2 للحصول على تفاصيل هذه الأحداث.
وحدة تحكم مجال جديدة: متطلبات الرمز المميز لربط قناة خادم LDAP نهج المجموعة لتكوين ربط قناة LDAP على الأجهزة المدعومة.

يتم تضمين التعيين بين إعدادات نهج توقيع LDAP وإعدادات التسجيل على النحو التالي:

إعداد النهج: "وحدة تحكم المجال: متطلبات توقيع خادم LDAP"
إعداد التسجيل: LDAPServerIntegrity
Datatype: DWORD
مسار التسجيل: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

إعداد نهج المجموعة	إعداد التسجيل
لا شيء	1
طلب التوقيع	2

يتم تضمين التعيين بين إعدادات نهج ربط قناة LDAP وإعدادات التسجيل كما يلي:

إعداد النهج: "وحدة تحكم المجال: متطلبات الرمز المميز لربط قناة خادم LDAP"
إعداد التسجيل: LdapEnforceChannelBinding
Datatype: DWORD
مسار التسجيل: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

إعداد نهج المجموعة	إعداد التسجيل
مطلقًا	0
عند الدعم	1
دوماً	2

الجدول 1: أحداث توقيع LDAP

	الوصف	الزناد
2886	يمكن تحسين أمان وحدات التحكم بالمجال هذه بشكل كبير عن طريق تكوين الخادم لفرض التحقق من صحة توقيع LDAP.	يتم تشغيله كل 24 ساعة، عند بدء التشغيل أو بدء الخدمة إذا تم تعيين نهج المجموعة إلى بلا. الحد الأدنى لمستوى التسجيل: 0 أو أعلى
2887	يمكن تحسين أمان وحدات التحكم بالمجال هذه عن طريق تكوينها لرفض طلبات ربط LDAP البسيطة وطلبات الربط الأخرى التي لا تتضمن توقيع LDAP.	يتم تشغيله كل 24 ساعة عند تعيين نهج المجموعة إلى None وتم إكمال ربطة واحدة على الأقل غير محمية. الحد الأدنى لمستوى التسجيل: 0 أو أعلى
2888	يمكن تحسين أمان وحدات التحكم بالمجال هذه عن طريق تكوينها لرفض طلبات ربط LDAP البسيطة وطلبات الربط الأخرى التي لا تتضمن توقيع LDAP.	يتم تشغيله كل 24 ساعة عند تعيين نهج المجموعة إلى طلب التوقيع وتم رفض ربط واحد على الأقل غير محمي. الحد الأدنى لمستوى التسجيل: 0 أو أعلى
2889	يمكن تحسين أمان وحدات التحكم بالمجال هذه عن طريق تكوينها لرفض طلبات ربط LDAP البسيطة وطلبات الربط الأخرى التي لا تتضمن توقيع LDAP.	يتم تشغيله عندما لا يستخدم العميل التوقيع للربطات في جلسات العمل على المنفذ 389. الحد الأدنى لمستوى التسجيل: 2 أو أعلى

الجدول 2: أحداث CBT

الحدث	الوصف	الزناد
3039	أجرى العميل التالي ربط LDAP عبر SSL/TLS وفشل التحقق من صحة الرمز المميز لربط قناة LDAP.	يتم تشغيله في أي من الظروف التالية: عندما يحاول عميل الربط برمز ربط القناة (CBT) المنسق بشكل غير صحيح إذا تم تعيين نهج المجموعة CBT إلى When Supported أو Always. عندما لا يرسل عميل قادر على ربط القناة CBT إذا تم تعيين نهج المجموعة CBT إلى When Supported. العميل قادر على ربط القناة إذا تم تثبيت ميزة EPA أو توفرها في نظام التشغيل ولم يتم تعطيلها من خلال إعداد التسجيل SuppressExtendedProtection. لمعرفة المزيد، راجع KB5021989. عندما لا يرسل العميل CBT إذا تم تعيين نهج المجموعة CBT إلى Always. الحد الأدنى لمستوى التسجيل: 2
3040	خلال فترة ال 24 ساعة السابقة، تم تنفيذ # من ارتباطات LDAPs غير المحمية.	يتم تشغيله كل 24 ساعة عند تعيين نهج المجموعة CBT إلى Never وتم إكمال ربط واحد على الأقل غير محمي. الحد الأدنى لمستوى التسجيل: 0
3041	يمكن تحسين أمان خادم الدليل هذا بشكل كبير عن طريق تكوين الخادم لفرض التحقق من صحة الرموز المميزة لربط قناة LDAP.	يتم تشغيله كل 24 ساعة، عند بدء التشغيل أو بدء الخدمة إذا تم تعيين نهج المجموعة CBT إلى أبدا. الحد الأدنى لمستوى التسجيل: 0

لتعيين مستوى التسجيل في السجل، استخدم أمر يشبه ما يلي:

Reg Add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

لمزيد من المعلومات حول كيفية تكوين تسجيل الأحداث التشخيصية ل Active Directory، راجع كيفية تكوين تسجيل الأحداث التشخيصية ل Active Directory وLDS.

تحديثات 8 أغسطس 2023

لا يمكن لبعض أجهزة العميل استخدام رموز ربط قناة LDAP للربط بوحدات تحكم مجال Active Directory (DCs). ستقوم Microsoft بإصدار تحديث أمان في 8 أغسطس 2023. بالنسبة إلى Windows Server 2022، يضيف هذا التحديث خيارات للمسؤولين لتدقيق هؤلاء العملاء. يمكنك تمكين أحداث CBT 3074 و3075 مع مصدر الحدث **Microsoft-Windows-ActiveDirectory_DomainService** في سجل أحداث خدمة الدليل.

هام لا يغير التحديث في 8 أغسطس 2023 توقيع LDAP أو النهج الافتراضية لربط قناة LDAP أو ما يعادله في التسجيل على Active Directory DCs الجديدة أو الموجودة.

تنطبق جميع الإرشادات الواردة في قسم تحديثات مارس 2020 هنا أيضا. ستتطلب أحداث التدقيق الجديدة إعدادات النهج والسجل الموضحة في الإرشادات أعلاه. هناك أيضا خطوة تمكين لمشاهدة أحداث التدقيق الجديدة. توجد تفاصيل التنفيذ الجديدة في قسم الإجراءات الموصى بها أدناه.

الجدول 3: أحداث CBT

الحدث

الوصف

الزناد

3074

أجرى العميل التالي ربط LDAP عبر SSL/TLS وكان سيفشل في التحقق من صحة الرمز المميز لربط القناة إذا تم تكوين خادم الدليل لفرض التحقق من صحة الرموز المميزة لربط القناة.

يتم تشغيله في أي من الظروف التالية:

عندما يحاول العميل الربط برمز ربط قناة منسق بشكل غير صحيح (CBT)

الحد الأدنى لمستوى التسجيل: 2

3075

أجرى العميل التالي ربط LDAP عبر SSL/TLS ولم يوفر معلومات ربط القناة. عند تكوين خادم الدليل هذا لفرض التحقق من صحة الرموز المميزة لربط القناة، سيتم رفض عملية الربط هذه.

يتم تشغيله في أي من الظروف التالية:

عندما لا يرسل عميل قادر على ربط القناة CBT
العميل قادر على ربط القناة إذا تم تثبيت ميزة EPA أو توفرها في نظام التشغيل ولم يتم تعطيلها من خلال إعداد التسجيل SuppressExtendedProtection. لمعرفة المزيد، راجع KB5021989.

الحد الأدنى لمستوى التسجيل: 2

‏ملاحظة عند تعيين مستوى التسجيل إلى 2 على الأقل، يتم تسجيل معرف الحدث 3074. يمكن للمسؤولين استخدام هذا لتدقيق بيئتهم للعملاء الذين لا يعملون مع رموز ربط القناة المميزة. ستحتوي الأحداث على معلومات التشخيص التالية لتحديد العملاء:

Client IP address: 192.168.10.5:62709
الهوية التي حاول العميل المصادقة عليها على النحو التالي:
CONTOSO\Administrator
يدعم العميل ربط القناة:FALSE
العميل المسموح به في عندما يكون الوضع مدعوما:TRUE
تدقيق علامات النتائج:0x42

تحديثات 10 أكتوبر 2023

تتوفر الآن تغييرات التدقيق المضافة في أغسطس 2023 على Windows Server 2019. بالنسبة لنظام التشغيل هذا، يضيف هذا التحديث خيارات للمسؤولين لتدقيق هؤلاء العملاء. يمكنك تمكين أحداث CBT 3074 و3075. استخدم مصدر الحدث **Microsoft-Windows-ActiveDirectory_DomainService** في سجل أحداث خدمة الدليل.

هام لا يغير تحديث 10 أكتوبر 2023 توقيع LDAP أو النهج الافتراضية لربط قناة LDAP أو ما يعادله في التسجيل على Active Directory DCs الجديدة أو الموجودة.

تنطبق جميع الإرشادات الواردة في قسم تحديثات مارس 2020 هنا أيضا. ستتطلب أحداث التدقيق الجديدة إعدادات النهج والسجل الموضحة في الإرشادات أعلاه. هناك أيضا خطوة تمكين لمشاهدة أحداث التدقيق الجديدة. توجد تفاصيل التنفيذ الجديدة في قسم الإجراءات الموصى بها أدناه.

تحديثات 14 نوفمبر 2023

تتوفر الآن تغييرات التدقيق المضافة في أغسطس 2023 على Windows Server 2022. لا تحتاج إلى تثبيت MSIs أو إنشاء نهج كما هو مذكور في الخطوة 3 من الإجراءات الموصى بها.

تحديثات 9 يناير 2024

تتوفر الآن تغييرات التدقيق المضافة في أكتوبر 2023 على Windows Server 2019. لا تحتاج إلى تثبيت MSIs أو إنشاء نهج كما هو مذكور في الخطوة 3 من الإجراءات الموصى بها.

‏‏الإجراءات المستحسنة

ننصح العملاء بشدة باتخاذ الخطوات التالية في أقرب فرصة:

تأكد من تثبيت تحديثات Windows في 10 مارس 2020 أو أحدث على أجهزة كمبيوتر دور وحدة التحكم بالمجال (DC). إذا كنت تريد تمكين أحداث تدقيق ربط قناة LDAP، فتأكد من تثبيت تحديثات 8 أغسطس 2023 أو التحديثات الأحدث على Windows Server 2022 أو Server 2019 DCs.
تمكين تسجيل تشخيص أحداث LDAP إلى 2 أو أعلى.
تمكين تحديثات حدث التدقيق لشهر أغسطس 2023 أو أكتوبر 2023 باستخدام نهج المجموعة. يمكنك تخطي هذه الخطوة إذا قمت بتثبيت تحديثات نوفمبر 2023 أو التحديثات الأحدث على Windows Server 2022. إذا قمت بتثبيت تحديثات يناير 2024 أو التحديثات الأحدث على Windows Server 2019، يمكنك أيضا تخطي هذه الخطوة.
- قم بتنزيل اثنين من واجهات برمجة تطبيقات التمكين لكل إصدار من نظام التشغيل من مركز تنزيل Microsoft:
- قم بتوسيع MSIs لتثبيت ملفات ADMX الجديدة التي تحتوي على تعريفات النهج. إذا كنت تستخدم Central Store نهج المجموعة، فانسخ ملفات ADMX إلى Central Store.
- قم بتطبيق النهج المقابلة على الوحدة التنظيمية لوحدات التحكم بالمجال أو على مجموعة فرعية من Server 2022 أو Server 2019 DCs.
- أعد تشغيل DC حتى تسري التغييرات.
مراقبة سجل أحداث خدمات الدليل على جميع أجهزة كمبيوتر دور DC التي تمت تصفيتها من أجل:
- حدث فشل توقيع LDAP 2889 في الجدول 1.
- حدث فشل ربط قناة LDAP 3039 في الجدول 2.
- أحداث تدقيق ربط قناة LDAP 3074 و3075 في الجدول 3.
  
  ‏ملاحظة لا يمكن إنشاء الأحداث 3039 و3074 و3075 إلا عند تعيين ربط القناة على عند الدعم أو دائما.
حدد نوع الجهاز والطراز والطراز لكل عنوان IP مقتبس من قبل:
- الحدث 2889 لإجراء مكالمات LDAP غير الموقعة
- الحدث 3039 لعدم استخدام ربط قناة LDAP
- الحدث 3074 أو 3075 لعدم القدرة على ربط قناة LDAP

أنواع الأجهزة

تجميع أنواع الأجهزة في 1 من 3 فئات:

الجهاز أو الموجه -
- اتصل بموفر الجهاز.
الجهاز الذي لا يعمل على نظام تشغيل Windows -
- تحقق من دعم كل من ربط قناة LDAP وتوقيع LDAP على نظام التشغيل والتطبيق. قم بذلك من خلال العمل مع نظام التشغيل وموفر التطبيق.
الجهاز الذي يعمل على نظام تشغيل Windows -
- يتوفر توقيع LDAP للاستخدام من قبل جميع التطبيقات على جميع الإصدارات المدعومة من Windows. تحقق من أن تطبيقك أو خدمتك تستخدم توقيع LDAP.
- يتطلب ربط قناة LDAP تثبيت CVE-8563 على جميع أجهزة Windows. تحقق من أن التطبيق أو الخدمة الخاصة بك تستخدم ربط قناة LDAP.

استخدم أدوات التتبع المحلية أو البعيدة أو العامة أو الخاصة بالجهاز. وتشمل هذه التقاطات الشبكة أو مدير العمليات أو تتبع الأخطاء. حدد ما إذا كان نظام التشغيل الأساسي أو الخدمة أو التطبيق يقوم بإجراء ربطات LDAP غير موقعة أو لا يستخدم CBT.

استخدم Windows Task Manager أو ما يعادله لتعيين معرف العملية لأسماء المعالجة والخدمة والتطبيقات.

جدول تحديثات الأمان

أضاف تحديث 10 مارس 2020 عناصر تحكم للمسؤولين لتقوية تكوينات ربط قناة LDAP وتوقيع LDAP على وحدات تحكم مجال Active Directory. تضيف تحديثات 8 أغسطس و10 أكتوبر 2023 خيارات للمسؤولين لتدقيق أجهزة العميل التي لا يمكنها استخدام رموز ربط قناة LDAP المميزة. ننصح العملاء بشدة باتخاذ الإجراءات الموصى بها في هذه المقالة في أقرب فرصة.

تاريخ الهدف	الحدث	ينطبق على
10 مارس 2020	مطلوب: يتوفر تحديث الأمان على Windows Update لجميع الأنظمة الأساسية المدعومة ل Windows. ‏ملاحظة بالنسبة إلى الأنظمة الأساسية ل Windows غير المدعومة القياسية، لن يتوفر تحديث الأمان هذا إلا من خلال برامج الدعم الموسعة القابلة للتطبيق. تمت إضافة دعم ربط قناة LDAP بواسطة CVE-2017-8563 على Windows Server 2008 والإصدارات الأحدث. يتم دعم الرموز المميزة لربط القناة في Windows 10 والإصدار 1709 والإصدارات الأحدث. لا يدعم Windows XP ربط قناة LDAP وسيفشل عند تكوين ربط قناة LDAP باستخدام قيمة Always ولكن سيتم التشغيل المتداخل مع DCs المكونة لاستخدام إعداد ربط قناة LDAP أكثر استرخاء عند الدعم.	Windows Server 2022 Windows 10، الإصدار 20H2 Windows 10، الإصدار 1909 (19H2) Windows Server 2019 (1809 \ RS5) Windows Server 2016 (1607 \ RS1) Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 SP1 (ESU) Windows Server 2008 SP2 (تحديث الأمان الموسع (ESU))
8 أغسطس 2023	إضافة أحداث تدقيق الرمز المميز لربط قناة LDAP (3074 & 3075). يتم تعطيلها بشكل افتراضي على Windows Server 2022.	Windows Server 2022
10 أكتوبر 2023	إضافة أحداث تدقيق الرمز المميز لربط قناة LDAP (3074 & 3075). يتم تعطيلها بشكل افتراضي على Windows Server 2019.	Windows Server 2019
14 نوفمبر 2023	تتوفر أحداث تدقيق الرمز المميز لربط قناة LDAP على Windows Server 2022 دون تثبيت MSI للتمكين (كما هو موضح في الخطوة 3 من الإجراءات الموصى بها).	Windows Server 2022
9 يناير 2024	تتوفر أحداث تدقيق الرمز المميز لربط قناة LDAP على Windows Server 2019 دون تثبيت MSI للتمكين (كما هو موضح في الخطوة 3 من الإجراءات الموصى بها).	Windows Server 2019

الأسئلة المتداولة

للحصول على إجابات للأسئلة المتداولة حول ربط قناة LDAP وتوقيع LDAP على وحدات تحكم مجال Active Directory، راجع: